房沛榮　唐剛　程曉妮

摘要：無(wú)線局域網(wǎng)在給人們的日常生活帶來(lái)便利的同時(shí)，也增加了通信的不安全性。為了克服WEP協(xié)議固有弱點(diǎn)給無(wú)線網(wǎng)絡(luò)帶來(lái)的諸多安全性隱患，Wi-Fi聯(lián)盟提出了WPA/WPA2協(xié)議來(lái)替代WEP協(xié)議。本文主要對(duì)WEP、WPA/WPA2兩種無(wú)線局域網(wǎng)通信協(xié)議加密過(guò)程進(jìn)行了研究，并從數(shù)據(jù)加密、數(shù)據(jù)完整性、身份認(rèn)證等方面詳細(xì)分析了WPA/WPA2協(xié)議所做出的改進(jìn)。最后文章還對(duì)WPA/WPA2的攻擊方式做了簡(jiǎn)單介紹。

關(guān)鍵詞：無(wú)線局域網(wǎng)；WPA/WPA2協(xié)議；WEP協(xié)議

中圖分類號(hào)：TP311

文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著近年來(lái)筆記本電腦、平板電腦、智能手機(jī)的普及，無(wú)線局域網(wǎng)作為無(wú)線寬帶通信的一種，近些年發(fā)展極為迅猛。據(jù)wifi聯(lián)盟估計(jì)，全球已經(jīng)有10%的人使用無(wú)線局域網(wǎng)進(jìn)行通信。無(wú)線局域網(wǎng)在為人們提供便利的同時(shí)，安全問(wèn)題也隨之日漸突出。近年來(lái)，由于使用無(wú)線局域網(wǎng)的原因而造成經(jīng)濟(jì)損失的案例也常常見(jiàn)諸各種新聞媒介。有線對(duì)等加密協(xié)議作為第一代無(wú)線局域網(wǎng)協(xié)議，并沒(méi)有很好地解決無(wú)線局域網(wǎng)的安全問(wèn)題，WPA/WPA2（Wi-Fi網(wǎng)絡(luò)安全存取）協(xié)議繼承了WEP協(xié)議，并且彌補(bǔ)了WEP協(xié)議的設(shè)計(jì)缺陷和漏洞，保護(hù)了無(wú)線網(wǎng)絡(luò)的安全。

1 WEP協(xié)議、WPA/WPA2協(xié)議

1.1WEP協(xié)議

WEP協(xié)議是運(yùn)用在數(shù)據(jù)鏈路層的加密協(xié)議，采用電子信息領(lǐng)域常用的RC4加密算法。WEP協(xié)議的加密過(guò)程如下：①運(yùn)用CRC-32s算法將計(jì)算出完整性檢驗(yàn)值ICV，并將值附加在明文的尾部；②首先用24位的初始化向量IV和40位密鑰K混合成密鑰流種子，再用偽隨機(jī)序列產(chǎn)生器PRNG生成密鑰流；③將明文和密鑰流異或相加生成密文。

WEP加密過(guò)程如圖1所示。

1.2WPA/WPA2協(xié)議

WPA采用的加密算法是臨時(shí)密鑰完整協(xié)議（TKIP）RC4加密算法，該算法繼承了WEP協(xié)議的加密原理，但是在WEP的加密原理上做出了巨大改進(jìn)，彌補(bǔ)了WEP的缺陷，極大的提高了數(shù)據(jù)加密的安全性。WPA2協(xié)議與WPA協(xié)議非常相似，兩者唯一的區(qū)別是WPA2算法采用了高級(jí)加密標(biāo)準(zhǔn)（AES）MJ。WPA協(xié)議的整個(gè)加密過(guò)程如下：

1.生成MSDU

WPA協(xié)議在計(jì)算消息的完整性校驗(yàn)碼時(shí)，使用了MSDU明文數(shù)據(jù)、源地址、目標(biāo)地址和臨時(shí)密鑰等多種信息，并用該校驗(yàn)碼取代了在WEP協(xié)議中使用的ICV，同時(shí)WPA將計(jì)算得到的MIC值附加到MSDU生成傳輸?shù)男畔?，在MSDU較長(zhǎng)時(shí)，協(xié)議可以將MSDU分為若干個(gè)子段。

2.生成WEP種子

在上一階段中，由臨時(shí)密鑰（TK）、發(fā)送方地址（TA）和序列號(hào)口（sc）生成了臨時(shí)混合密鑰（TI'AK）。本階段中，再由TTAK、TSC和TK雜湊為WEP種子密鑰。

3.封裝WEP

在本階段中，協(xié)議將上階段生成的WEP種子密鑰分成WEP IV和RC4算法密鑰兩部分。其中使用RC4算法密鑰生成密鑰流，然后將生成的結(jié)果與MSDU相異或生成密文MSDU并將IV附加尾部形成MPDU。

WPATKIP加密過(guò)程如圖2所示。

1.3 WEP、WPA、WPA2兩種協(xié)議的對(duì)比

WPAlVJ協(xié)議在WEP協(xié)議的基礎(chǔ)上做了眾多改進(jìn)，本文主要從數(shù)據(jù)加密、數(shù)據(jù)完整性、身份認(rèn)證等方面對(duì)兩個(gè)協(xié)議進(jìn)行對(duì)比介紹。

1.3.1數(shù)據(jù)加密方面

在WEP協(xié)議中，使用的加密算法是RC4加密算法，在該算法中存在部分弱密鑰，使得子密鑰序列在不到100萬(wàn)字節(jié)內(nèi)就發(fā)生了完全的重復(fù)，如果是部分重復(fù)，則可能在不到10萬(wàn)字節(jié)內(nèi)就能發(fā)生重復(fù)。大量弱密鑰的存在，這將導(dǎo)致生成的密鑰序列中有相當(dāng)數(shù)量的序列位僅由弱密鑰的部分比特位所決定，這個(gè)規(guī)律使得該算法被破解的難度大大降低。再加上RC4算法中以明文進(jìn)行通信，這使得密文很容易被攻擊者破解。另外，在WEP協(xié)議中，算法需要使用手動(dòng)方式將密鑰寫(xiě)入WLAN的設(shè)備中，因此在同一個(gè)WLAN中，沒(méi)有自動(dòng)密鑰管理機(jī)制，客戶和接入點(diǎn)使用同一個(gè)單一密鑰。

在WPA協(xié)議中，采用的臨時(shí)密鑰完整性協(xié)議TPIK（Temporal Key Integrity Protocol）、802.1x和可擴(kuò)展認(rèn)證協(xié)議（EAP）。其中TPIK協(xié)議使用的密鑰序列的保密性大大增強(qiáng)，雖然在WPA協(xié)議中依然使用RC4算法，但是在RC4算法的基礎(chǔ)上進(jìn)行了改進(jìn)，使得數(shù)據(jù)封裝的形式更為復(fù)雜，密鑰長(zhǎng)度也由40位增長(zhǎng)至128位，在分發(fā)時(shí)也由密鑰認(rèn)證服務(wù)器動(dòng)態(tài)的進(jìn)行認(rèn)證與分發(fā)。同時(shí)，TPIK協(xié)議還使用了密鑰分級(jí)技術(shù)以及先進(jìn)的密鑰管理方法，從而大大增強(qiáng)了密鑰的保密性。除此之外，TPIK還使用了802.1X和EAP認(rèn)證機(jī)制增強(qiáng)加密的安全性。在用戶完成認(rèn)證服務(wù)器中的認(rèn)證后，服務(wù)器使用802.1x生成一個(gè)唯一的主密鑰，TPIK將主密鑰分別發(fā)送到客戶機(jī)和AP，在會(huì)話期間，每個(gè)被傳遞的數(shù)據(jù)包都采用一個(gè)唯一的密鑰來(lái)完成加密工作，從而建立起密鑰分級(jí)及管理系統(tǒng)。TKIP的應(yīng)用，使得每個(gè)數(shù)據(jù)包在加密時(shí)可以使用的密鑰數(shù)量達(dá)到數(shù)千萬(wàn)個(gè)，有效的解決了WEP協(xié)議中加密算法密鑰過(guò)短、靜態(tài)密鑰和密鑰缺乏管理等問(wèn)題。

1.3.2數(shù)據(jù)完整性

在WEP協(xié)議中，使用了32位循環(huán)冗余校驗(yàn)（CRC），但是CRC的計(jì)算復(fù)雜度是線性的，這個(gè)特點(diǎn)很容易被攻擊者應(yīng)用。在修改數(shù)據(jù)幀的同時(shí)，修改相應(yīng)的CRC位，很容易通過(guò)算法的完整性校驗(yàn)。

而在WPA協(xié)議中，使用的是信息完整性代碼MIC（Message Integrity Code）來(lái)防止入侵者對(duì)數(shù)據(jù)幀的修改，該機(jī)制中，發(fā)送端和接收端都會(huì)對(duì)MIC值進(jìn)行計(jì)算并比較，如果算法發(fā)現(xiàn)計(jì)算值與獲得值不相等，則認(rèn)為數(shù)據(jù)幀被惡意篡改，然后將當(dāng)前的數(shù)據(jù)包丟棄并重新發(fā)送數(shù)據(jù)包。這樣使得數(shù)據(jù)包被篡改的概率大大降低。

1.3.3身份認(rèn)證方面

在WEP協(xié)議中，沒(méi)有對(duì)用戶的身份認(rèn)證進(jìn)行明確定義，在實(shí)際應(yīng)用中，一般將WEP的共享密鑰作為用戶身份驗(yàn)證的密碼，但是這種認(rèn)證是基于硬件的單向認(rèn)證，有可能受到硬件的威脅，同時(shí)也有被拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

在WPA協(xié)議中，有效的避免了上述問(wèn)題，在該協(xié)議中使用了兩種認(rèn)證方式。第一種是802.1x+EAP的認(rèn)證方式，用戶向服務(wù)器提供認(rèn)證所需憑證，例如可以使用用戶密碼并通過(guò)特定的認(rèn)證服務(wù)器來(lái)實(shí)現(xiàn)，這種方式需要使用一臺(tái)特定的服務(wù)器，價(jià)格較為昂貴。另外一種方式是WPA-PSK，這種方式是對(duì)802.1x+EAP的簡(jiǎn)化，在802.1x+EAP中，802.1x是基于端口的網(wǎng)絡(luò)訪問(wèn)控制協(xié)議，要求用戶必須在完成身份認(rèn)證后才能對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，802.1x協(xié)議除了需要進(jìn)行端口訪問(wèn)控制和身份認(rèn)證以外，還需要?jiǎng)討B(tài)的進(jìn)行密鑰管理。在802.1x協(xié)議中，使用EAP作為認(rèn)證協(xié)議，EAP定義了認(rèn)證過(guò)程中的消息傳遞機(jī)制，802.1x認(rèn)證過(guò)程主要分為以下幾個(gè)步驟：

在AP偵測(cè)到一個(gè)客戶端后，AP將向客戶端發(fā)送一個(gè)EAPOL格式的EAP Request-ID信息。

在客戶端收到該信息后，向AP返回一個(gè)含有用戶ID的EAPOI，該信息將被封裝成RADIUS請(qǐng)求數(shù)據(jù)包，傳送至骨干網(wǎng)上的RADIUS服務(wù)器。

然后進(jìn)行EAP認(rèn)證，在服務(wù)器支持下，消息在客戶端和RADIUS之間進(jìn)行中繼，在客戶端使用EAPOL協(xié)議，而在服務(wù)器端使用RADIUS協(xié)議。

在完成EAP認(rèn)證后，RADIUS服務(wù)器發(fā)出一個(gè)包含有EAP標(biāo)志的RADIUS數(shù)據(jù)包，該數(shù)據(jù)包將被傳送到客戶端。如果RADIUS服務(wù)器通過(guò)了客戶端的認(rèn)證，所請(qǐng)求的端口將被開(kāi)放給客戶端。

在WPA-PSK方式中，實(shí)現(xiàn)方式將被大大簡(jiǎn)化，僅僅要求在每個(gè)WLAN節(jié)點(diǎn)預(yù)置共享密鑰即可。只要客戶端的密鑰與服務(wù)器端的相吻合，客戶端就可以獲得網(wǎng)絡(luò)的訪問(wèn)權(quán)。同時(shí)這個(gè)密鑰僅僅使用于認(rèn)證過(guò)程，并不會(huì)在預(yù)共享認(rèn)證過(guò)程中產(chǎn)生嚴(yán)重的安全問(wèn)題。

綜上，WPA協(xié)議綜合使用了802.1X、EAP、TKIP和MIC安全協(xié)議。負(fù)責(zé)接入認(rèn)證的802.1x和EAP協(xié)議與負(fù)責(zé)數(shù)據(jù)加密及完整性校驗(yàn)的TPIK和MIC協(xié)議一起，實(shí)現(xiàn)了WPA協(xié)議在應(yīng)用中極強(qiáng)的可靠性。

事實(shí)證明，WPA/WPA2具有很高的安全性，算法方面沒(méi)有明顯漏洞，只要用戶不采用非常簡(jiǎn)單的弱密碼，想要通過(guò)遍歷密碼表進(jìn)行暴力破解是非常困難的。目前的主要攻擊手段是通過(guò)遍歷密碼表進(jìn)行暴力破解，這種方法在用戶密碼比較復(fù)雜的情況下非常耗時(shí)，而且，通常會(huì)達(dá)到天文數(shù)字般的時(shí)間長(zhǎng)度，攻擊者的破解成本過(guò)于高昂，使得WPA/WPA2的破解實(shí)際上不可行，有效地保證了安全性。

2 破解

在現(xiàn)實(shí)中，黑客仍然可以利用WAP/WAP2的一些弱點(diǎn)，對(duì)其進(jìn)行攻擊，破解WIFI的密碼。要破解WPA/WPA2，需要獲得預(yù)共享密鑰模式下的預(yù)共享密鑰PSK或認(rèn)證模式下的主會(huì)話密鑰MSK，在各種攻擊中暴力破解攻擊可以獲得PSK或MSK。在實(shí)際應(yīng)用中，很多無(wú)線局域網(wǎng)都采用預(yù)共享密鑰模式，因此，在暴力破解中WPA/WPA2-PSK暴力破解尤為重要。WPA/WPA2-PSK暴力破解器作為一種自動(dòng)化的暴力破解，使WPA/WPA2-PSK的黑客軟件應(yīng)運(yùn)而生，如Aircrack-ng和Cowpatty，但傳統(tǒng)的WPA/WPA2-PSK暴力破解器僅采用單機(jī)單核進(jìn)行破解，破解速度有限，提高WPA/WPA2-PSK的破解速度，成為破解密碼需要解決的重點(diǎn)問(wèn)題。俄羅斯軟件公司ElcomSoft推出一款單機(jī)軟件Wireless Security Auditor，利用GPU的運(yùn)算性能提升WPA/WPA2-PSK的暴力破解速度，由于是商業(yè)軟件，因此實(shí)現(xiàn)細(xì)節(jié)未公開(kāi)。該WPA/WPA2-PSK暴力破解器僅利用了單機(jī)的計(jì)算資源。開(kāi)源Pyrit是專門(mén)的WPA/WPA2-PSK破解工具，支持多核心CPU和GPU，基于Python語(yǔ)言開(kāi)發(fā)。該暴力破解器的最新版本引入了網(wǎng)絡(luò)核心概念，將網(wǎng)絡(luò)上的協(xié)作破解機(jī)器作為本機(jī)外的另一個(gè)計(jì)算核心，但用于分布式破解時(shí)要在破解的同時(shí)傳輸PSK List，網(wǎng)絡(luò)開(kāi)銷較大。ZerOne安全團(tuán)隊(duì)使用分布式來(lái)建立大型WPA Hash Table，使用分布式計(jì)算結(jié)合WPA Hash Table來(lái)進(jìn)行WPA/WPA2加密數(shù)據(jù)包的破解，破解速度可以輕易地超過(guò)80萬(wàn)key/秒。

在WPA/WPA2-PSK模式中，通信雙方采用PSK。首先通信雙方通過(guò)PBKDF2函數(shù)和基于哈希的消息認(rèn)證碼——安全哈希算法，將PSK轉(zhuǎn)化為成對(duì)主密鑰PMK。接著通信雙方借助4次握手和PRF-X函數(shù)將PMK轉(zhuǎn)化為成對(duì)臨時(shí)密鑰PTK，進(jìn)而將PTK映射為EAPOL（EAP Over LAN）密鑰確認(rèn)密鑰KCK，EAPOL密鑰加密密鑰KEK和臨時(shí)密鑰TK，對(duì)于TKIP協(xié)議，TK還進(jìn)一步映射為T(mén)K、AP到STA的M1C密鑰和STA到AP的MIC密鑰。

4次握手通過(guò)EAPOL一密鑰幀完成。

破解步驟如下：

攻擊者被動(dòng)偵聽(tīng)AP與STA之間的通信，獲得4次握手包和AP的ssid，也可用deauthentication攻擊加速此過(guò)程。

捕獲握手包后進(jìn)行離線攻擊。窮舉每個(gè)可能的密鑰，利用ssid，計(jì)算PMK。

分析握手包1和2，得到ANonee、SNonee、AA、SPA，與上一步得到的PMK計(jì)算出PTK的前128 bit KCK即可。

根據(jù)EAPOL-密鑰幀中的密鑰描述符類型字段決定消息認(rèn)證算法，使用上一步得到的KCK，計(jì)算消息2的MIC值，與捕獲的消息2的MIC值比較，相同則表明密鑰猜測(cè)正確，否則，繼續(xù)嘗試下一個(gè)可能密鑰。

3 總結(jié)

數(shù)據(jù)加密是增加無(wú)線網(wǎng)絡(luò)安全的一種有效方法，WPA的出現(xiàn)為現(xiàn)有的無(wú)線網(wǎng)絡(luò)產(chǎn)品提供了一個(gè)簡(jiǎn)便的升級(jí)途徑，可以通過(guò)對(duì)軟件和硬件的升級(jí)來(lái)加強(qiáng)信息的安全加密和網(wǎng)絡(luò)接入控制。與WEP協(xié)議相比，對(duì)WPA/WPA2協(xié)議破解的難度有了很大提升，WPA目前沒(méi)有加密體質(zhì)的缺陷可以被利用，但是仍可以通過(guò)常規(guī)的字典攻擊法破解WPA的密碼。包括了高級(jí)加密標(biāo)準(zhǔn)AES（Advaneed EncryptionStandard）等安全特性的802.11i無(wú)線網(wǎng)絡(luò)安全協(xié)議將在未來(lái)成為WLAN的規(guī)范，為Wlan提供更加安全的協(xié)議。